こんにちは!谷口です!
NSX を運用していると、普段はあまり意識しないものの、気にしておきたいのが証明書の有効期限です。期限が切れると、管理画面へのアクセスに支障が出たり、運用に思わぬ影響が出ることがあります。
今回は、NSX 4.2 環境で証明書の更新を実施した手順をまとめました。
画面の操作に沿って進める内容なので、同じように更新作業を行う際の参考になれば幸いです。
本記事でわかること
- VMware NSX 証明書の基本的な役割
- 証明書の期限が切れた場合の影響
- NSX 4.2 における証明書更新の手順
- 更新後に有効期限がどう変わるか
VMware NSX 証明書の概要
VMware NSX では、管理画面の HTTPS 通信や内部コンポーネント間の通信に証明書が利用されています。そのため、証明書の有効期限を把握しておくことは、安定した運用のうえで重要です。
証明書の有効期限が切れた場合の影響
VMware NSX で証明書の有効期限が切れた場合、主に次のような影響が考えられます。
- ブラウザで NSX にアクセスした際に証明書警告が表示される
- 管理画面へのログインや操作に支障が出る可能性がある
- NSX 内部の通信や信頼関係に影響が出る可能性がある
特に管理系の証明書は、期限切れ後に対応すると影響範囲が広がることがあるため、余裕を持って更新しておくのがおすすめです。
デフォルトの有効期限と手動更新後の延長期限
VMware NSX 4.2 環境での証明書の有効期限は以下の通りです。
- デフォルト
MGMT_CLUSTER site:825日
APH node:10年
CBM_CLUSTER_MANAGER node:100年
CBM_CORFU node:100年
LocalManager:10年 - 手動更新後:
MGMT_CLUSTER site:825日
APH node:10年
LocalManager:10年
※CBM_CLUSTER_MANAGER nodeとCBM_CORFU nodeは有効期限が100年のため、今回は未確認です。
証明書の有効期限は定期的に確認し、期限切れ直前ではなく、余裕を持って更新することをお勧めします。
VMware NSX 証明書の更新方法
前提条件
- NSX の管理コンソールにログインできること
- 証明書更新は管理インターフェースに影響するため、メンテナンス時間帯に実施することをお勧めします。
- 本記事は NSX 4.2 で検証しています。画面表示や文言はバージョンによって異なる場合があります。
更新手順
- WEBブラウザからNSXの管理コンソールに、管理者アカウント(admin)でログインします。
- 「システム」タブを選択し、「証明書」をクリックします。
- 更新対象の証明書を選択し、「アクション」→「証明書の置き換え」をクリックします。
■対象
・APH node —********(3種類存在)
・LocalManager
・MGMT_CLUSTER site —-****
※「*」の文字列はランダム値のため、環境によって変動します。
- 「置き換える証明書の選択」で、「自己署名証明書の生成」を選択して、保存をクリックします。
- 警告画面が表示されるので、証明書更新にかかる推定時間を確認し、「はい」をクリックします。
- 「証明書の置き換え結果」に「完了しました」と表示されていることを確認し、F5キーを押下してブラウザを更新します。その後、再度「NSX」へログインします。
- 手順1~2を実施します。
- 「有効期限」が更新されたことを確認します。
まとめ
今回は VMware NSX の証明書を更新する手順を紹介しました。ポイントを振り返ると、以下の通りです。
- NSXの証明書は、NSXの内部サービス認証に使用される重要な証明書
- 期限切れになると、NSX の動作に影響が出る可能性がある
- NSX 4.2 では、デフォルトの有効期限は証明書によるが最短のもので825日、最長のもので100年
- 手動更新すると、デフォルトの有効期限と同じ期間だけ延長される
NSX の証明書更新は、手順を追って進めればそれほど難しい作業ではありません。
一方で、証明書の期限切れは運用への影響が大きいため、日頃から有効期限を確認しておくことが大切です。
VMware NSX は VMware, Inc.(a Broadcom company)の商標であり、この記事は VMware, Inc. または Broadcom によって承認されたり、いずれとも提携したりするものではありません。
コメント